Mise en place OpenSSL difficile sur Wampserver

**PeekNPoke** · 24/07/2009, 12h55

Bonjour,

Comme tous les novices en matière de sécurité, je peine, malgré les tutoriaux et les diverses discussions du forum, à faire fonctionner le mode ssl sur wampserver.

Voici l'erreur sous Opéra:

Erreur!
Impossible de se connecter au serveur distant

Vous tentez d'accèder à l'adresse https://localhost/, actuellement injoignable. Assurez-vous que l'adresse web (URL) est écrite correctement puis tentez de recharger la page.

Connexion sécurisée: erreur fatale (552)

https://localhost/

Opera n'a pas été capable de se connecter au serveur. Le serveur utilise peut être le protocle SSL 2, qui n'est pas supporté et n'est pas assez sécurisé. Le propriétaire du site devrait mettre le site à jour vers TLS 1.0 ou mieux.
Assurez-vous que votre connexion est activée et vérifiez si d'autres applications utilisent la même connexion.

La même sous Firefox:

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à localhost.

SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

(Code d'erreur : ssl_error_rx_record_too_long)

* La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues
ne peut être vérifiée.

* Veuillez contacter les propriétaires du site Web pour les en informer.
Vous pouvez également utiliser la commande dans le menu d'aide pour signaler un site non fonctionnel.

Googlechrome et IE ne donnent pas d'indication mais refusent la connexion.

Contenu de apache_error.log:

[Fri Jul 24 12:22:00 2009] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Fri Jul 24 12:22:00 2009] [notice] Apache/2.0.63 (Win32) mod_ssl/2.0.63 OpenSSL/0.9.8k PHP/4.4.9 configured -- resuming normal operations
[Fri Jul 24 12:22:00 2009] [notice] Server built: Jan 17 2008 22:58:29
[Fri Jul 24 12:22:00 2009] [notice] Parent: Created child process 4884
[Fri Jul 24 12:22:00 2009] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Fri Jul 24 12:22:01 2009] [notice] Child 4884: Child process is running
[Fri Jul 24 12:22:01 2009] [notice] Child 4884: Acquired the start mutex.
[Fri Jul 24 12:22:01 2009] [notice] Child 4884: Starting 250 worker threads.

Je fonctionne avec Wampserver 2.0 (OpenSSL intégré), Apache 2.0.63, Php 4.4.9.

Voici les étapes de la mise en place du ssl (fichier bat):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
openssl genrsa -des3 -out server.key 1024
copy server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl req -new -x509 -nodes -sha1 -days 365 -key server.key -out server.crt -config "C:\Program Files\wamp\bin\apache\apache2.0.63\conf\openssl.cnf"
md "C:\Program Files\wamp\bin\apache\apache2.0.63\conf\ssl.key"
md "C:\Program Files\wamp\bin\apache\apache2.0.63\conf\ssl.crt"
copy server.key "C:\Program Files\wamp\bin\apache\apache2.0.63\conf\ssl.key\server.key"
copy server.key "C:\Program Files\wamp\bin\apache\apache2.0.63\conf\ssl.crt\server.crt"

Contenu de httpd.conf (fragments):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
Listen 127.0.0.1:80
Listen 127.0.0.1:443
LoadModule ssl_module modules/mod_ssl.so
<IfModule mod_ssl.c>
    Include conf/ssl.conf
</IfModule>

Contenu de ssl.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
<IfDefine SSL>
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:logs/ssl_scache
SSLSessionCacheTimeout  300
SSLMutex default
<VirtualHost _default_:443>
DocumentRoot "C:/Program Files/wamp/www"
ServerName localhost:443
ServerAdmin admin@localhost
ErrorLog logs/sslerror_log
TransferLog logs/sslaccess_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile conf/ssl.crt/server.crt
SSLCertificateKeyFile conf/ssl.key/server.key
<FilesMatch "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "C:/Program Files/wamp/www">
    SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>                                  
</IfDefine>

Et voilà... tant que je teste http://localhost/, tout va bien, mais à https://localhost/, cela me renvoie les erreurs précitées !

Je précise que dans le php.ini, j'ai bien décommenté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

extension=php_openssl.dll

alors qu'ai-je fait de travers ?!!!

Merci d'avance !

**_Mac_** · 24/07/2009, 15h26

Un pare-feu activé, peut-être ?

**PeekNPoke** · 24/07/2009, 15h58

Merci pour ta réponse !

A priori, non... mais je vais mener l'enquête !

A ta réponse, je déduis que rien dans la procédure ne te semble erroné, et que le contenu des fichiers conf semble cohérent. Me trompé-je ?

**_Mac_** · 24/07/2009, 17h04

Oui, tout semble correct. Ton navigateur passe par un proxy ?

**PeekNPoke** · 24/07/2009, 18h11

Non, pas de proxy.

J'ai testé sur 2 PC, même config pour wampserver sur les deux.
Le premier PC, sous XP Pro, est en réseau avec une passerelle pour Internet, Firewall Windows activé ou non, l'interdiction à https://localhost/ persiste.
Le deuxième, sous Vista familiale premium, n'est pas en réseau, dispose d'un pare-feu Mcafee qui autorise un controle total à apache.exe et le pare-feu Windows est désactivé.

J'ai sensiblement modifié les fichiers conf pour voir. J'ai supprimé ce qui me semble être une redondance entre httpd.conf et ssl.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Listen 127.0.0.1:443

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Listen 443

Dans ssl.conf, j'ai aussi changé (pour voir):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<FilesMatch "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</FilesMatch>

en

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<FilesMatch "\.(cgi|shtml|html|php?)$">
    SSLOptions +StdEnvVars
</FilesMatch>

Et j'ai aussi passé, toujours dans ssl.conf, SSLSessionCache à "none":

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SSLSessionCache none

Mais rien ne change. En tout cas, je te remercie de prendre le temps de m'accompagner dans mes balbutiements !

**_Mac_** · 24/07/2009, 23h23

Le plus sûr c'est de mettre Listen 443, comme ça Apache écoute sur toutes les interfaces réseau, pas seulement 127.0.0.1, ce qui empêche les accès à distance. Donc mets simplement ce Listen 443, redémarrage Apache et teste de nouveau. Si ça ne marche toujours pas, tu peux toujours tenter un test telnet local : sur la machine qui héberge Wamp, tu ouvres un interpréteur de commande (menu Démarrer > Exécuter... > cmd) et tu tapes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telnet localhost 443

si la fenêtre se rafraîchit et devient noir, c'est OK, Apache écoute comme il faut et il faut alors exploiter la piste navigateur/proxy/firewall. Tu peux aussi taper

Code :

Sélectionner tout - Visualiser dans une fenêtre à part